Escritos
B. Piropo
Anteriores:
< Trilha Zero >
Volte de onde veio
14/09/1998

< Back Orifice >


A primeira vez que ouvi falar do Back Orifice foi há pouco mais de um mês, em um papo com gente muito bem informada. Perguntaram se eu já sabia da existência do programa, então recém saído do forno. Não, nunca tinha ouvido falar, respondi. Quando me puseram a par do que se tratava e do que o bicho era capaz de fazer, tomei um susto. E mais me assustei quando ouvi gente que sabia do que estava falando assegurar que testou o programa, garantindo não somente que funcionava como também que a coisa parecia ser pior do que se dizia.

Para quem não sabe do que se trata: Back Orifice é um programa desenvolvido por algum débil mental (talvez um gênio em programação dotado de uma inteligência brilhante, mas nem por isto menos débil mental) que, uma vez instalado em sua máquina, a põe inteiramente à mercê de qualquer pessoa que esteja rodando a versão "Server" do programa enquanto ambos estão conectados à Internet. Ele é pequeno (seu arquivo executável tem pouco mais de 120K) e pode ser "embutido" em um programinha inocente qualquer, destes que chegam anexados a mensagens de correio eletrônico, de modo que sua instalação passe inteiramente despercebida, assim como sua presença no micro. Seu nome é uma evidente alusão ao conjunto de utilitários da Microsoft chamado Back Office.

Quando soube de sua existência, pensei em alertar os usuários sobre o problema. Mas antes que eu metesse a mão na massa o caderninho publicou um excelente artigo do Paulo Viana sobre o assunto e as pessoas começaram a se cuidar. Pelo menos imaginei que assim fosse.

Agora, me dou conta que me enganei. Acabo de receber a informação de que não somente o Back Orifice se disseminou muito mais rapidamente do que eu esperava, como já começaram a surgir sítios especializados em oferecer suporte e "add-ins" para ele. Dentre estes últimos, há um programa que, após instalado em sua máquina - o que pode ser feito agregando-o a um outro programinha inocente, tipo screen saver ou algo similar - deixa suas senhas disponíveis a qualquer pessoa que tenha o Back Orifice Server, bastando pedir para exibir as senhas armazenadas na máquina. E, pior: quem me enviou a informação acrescentou: "nós instalamos o server para testar e é impressionante como existem PCs contaminados na rede" (com este, em particular, não se preocupe: trata-se do sysop de um provedor sério que, portanto, já tem acesso a um monte de senhas e sabe como se comportar). Por isto resolvi abordar o assunto. E não pense que estou disseminando pânico sem razão. Definitivamente não sou disso. Se publico este alerta é porque realmente acredito que o problema é grave.

Nossas máquinas, eu sei, de uma forma ou de outra, sempre estiveram à mercê de intrusos. Mas agora a coisa é diferente: ampliou-se estupidamente (em todos os sentidos) o universo dos mal intencionados que podem se assenhorear de seu micro. Porque até recentemente, para invadir um computador sem licença e sem que o usuário notasse, era preciso ser um hacker com profundos conhecimentos de informática. Um especialista. E especialistas, há poucos. Mas hoje a coisa mudou. Porque talvez a característica mais perversa do Back Orifice é não exigir nenhum preparo técnico. Trata-se de um programa que dá a qualquer pessoa o domínio total de seu computador, permitindo fazer praticamente qualquer coisa com a máquina. E quando digo "qualquer pessoa", refiro-me a usuários comuns como eu e você. Quem sabe usar, digamos, o Windows Explorer, pode operar o Back Orifice. E isto inclui um número impensável de irresponsáveis, partidários de brincadeiras de mau gosto, iniciantes deslumbrados com o poder que o programa põe nas mãos deles, enfim, um exército infinito de todo o tipo de imbecil. E nos dias de hoje, sabemos todos, imbecil é o que não falta.

Para instalar o programa na máquina de um incauto, basta enviá-lo "disfarçado" em algo inocente, de forma que ele seja inadvertidamente executado. Depois, é só esperar que a vítima se conecte à Internet e descobrir seu endereço IP: isto feito, o micro está nas mãos de um mentecapto. Um mentecapto que pode fazer qualquer coisa com ele. E não estou exagerando: em sua "Crack Talk Newsletter" (disponível em [http://209.223.32.74/cracktlk.htm]), Terry Blount cita alguns exemplos do que pode ser feito com o Back Orifice sem que o dono da máquina tenha a menor idéia do que está acontecendo. Dentre eles: acessar informações bancárias e escarafunchar extratos de contas correntes; descobrir os dados de cartões de crédito; acessar registros dos históricos de ICQ e IRQ; ler arquivos de correio eletrônico (o que inclui todas as mensagens recebidas e enviadas, inclusive as que a vítima pensa que removeu mas continuam na pasta "Trash", "Removidas" ou algo parecido); descobrir todas as senhas, desde as de cartões de banco e de crédito até provedores Internet, sítios FTP e servidores de correio eletrônico. E, finalmente, caso o acesso à Internet esteja sendo feito a partir de um micro ligado em rede, o invasor pode se infiltrar em qualquer outro micro da rede e copiar, remover, alterar ou mover qualquer arquivo, assim como transferir qualquer arquivo de suas próprias máquinas para qualquer diretório de qualquer máquina da rede.

Assustou-se? Lamento, mas é realmente assustador. E o pior é que as defesas que estão sendo desenvolvidas contra o Back Orifice não apresentam a eficácia esperada. Na verdade, podem piorar a coisa dando uma falsa impressão de segurança. Por exemplo: depois que invadiu sua máquina, qualquer pilantra pode instalar nela um programa que, cada vez que você liga a máquina, é executado automaticamente e reinstala o Back Orifice. Ou seja: você detecta o maldito, usa uma das ferramentas disponíveis para removê-lo, fica tranqüilo achando que derrotou o inimigo e ele volta automática e sorrateiramente no próximo boot. Consulte [http://www.zdnet.com/pcweek/news/0817/20mbosec.html] para ter uma idéia da fragilidade das defesas que estão sendo desenvolvidas contra o programeto.

Há algum meio definitivamente seguro de se proteger? Se há, eu ignoro. Mas há formas relativamente simples de, pelo menos, verificar se ele está presente em sua máquina. A mais simples que conheço consiste em abrir a janela "Localizar" do menu Iniciar, selecionar a opção "Arquivos ou Pastas" e pedir para pesquisar pelo texto "bofilemapping" (assim mesmo, mas sem aspas) em todos os seus arquivos de todos os diretórios de todos os discos rígidos ou partições. Se o texto for encontrado, é quase certo que o Back Orifice já foi instalado em sua máquina (aos que estão lendo esta coluna via Internet na minha página pessoal ou no Globo On: se o texto foi encontrado, antes de desmaiar verifique se por acaso ele não está neste arquivo que você está lendo, armazenado em seu cache de disco; se estiver, relaxe). E se o arquivo que contém o texto mora em Windows\System, provavelmente ele está rodando.

Uma outra dica, também do Terry Blount, é examinar o conteúdo de certas chaves do Registro. Carregue o Editor do Registro (se não sabe como, simplesmente acione a opção "Executar" do seu menu "Iniciar", digite REGEDIT na caixa de entrada de dados e tecle ENTER, que provavelmente o Editor do Registro será executado) e examine o conteúdo das chaves "Run" e "Runonce", em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion. Se você encontrar arquivos como "Windll.Dll" (nome usado pela versão original do Back Orifice) ou "Hello.Abc", cuide-se: o bicho certamente está escondido nas entranhas de seu micro.

Pois é isso. Detesto ser portador de más notícias, mas acho melhor conhecer o risco para tentar se defender dele. Entrementes, sempre fica uma interrogação no ar: e a Microsoft, que desenvolveu um sistema operacional com falhas tão evidentes de segurança e o espalhou em centenas de milhões de máquinas por todo o planeta, não pretende se manifestar?

Aguardamos inquietos e ansiosos.

B. Piropo